En un mundo en el que los robots son capaces de realizar casi cualquier cosa, incluso tareas asombrosas como operar a pacientes o explorar otros planetas, resulta curioso que no puedan superar una prueba tan sencilla como la de marcar una casilla. En este caso hablamos de la casilla de No soy un robot, diseñada precisamente para determinar que el usuario es un humano y no un bot.
Esta aparente contradicción se puede explicar a través de la evolución de una herramienta que es clave en la seguridad digital; se trata del CAPTCHA, cuyo fin es distinguir a los humanos de las máquinas en internet. El CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) fue creado para bloquear a los bots automatizados que intentaban acceder a distintos servicios web como formularios, encuestas o comentarios.
Evolución del CAPTCHA a reCAPTCHA
En sus primeras versiones, CAPTCHA presentaba unos cuadros casi ilegibles con letras y números que el usuario debía descifrar, pero los bots rápidamente mejoraron su capacidad para leer estas imágenes mediante el reconocimiento óptico de caracteres (OCR). De hecho, en 2014, una inteligencia artificial de Google logró resolver estos desafíos con una eficacia superior al 99%, mientras que los humanos apenas superaban el 30%.
Como respuesta a este avance, nació el sistema reCAPTCHA, también de Google, que no solo pedía marcar una casilla, sino que además analizaba el modo en que se realizaba ese gesto.
Este sistema introdujo una nueva capa de seguridad: la observación del comportamiento. Ya no se trata simplemente de hacer clic, sino de cómo se hace. El sistema evalúa el movimiento del cursor, su fluidez, si hay pausas o correcciones, y compara estos patrones con los típicamente humanos. Los bots, por lo general, realizan movimientos lineales, rápidos y precisos, lo que los delata ante el sistema.
Pero el análisis no termina ahí, sino que va mucho más allá. reCAPTCHA también recopila información adicional para verificar la identidad del usuario y evalúa el historial de navegación, las cookies del navegador, la dirección IP y la presencia de extensiones sospechosas. Esta recopilación de datos permite al sistema identificar comportamientos típicamente humanos incluso sin que se presente ningún desafío visual o interactivo.
Análisis de comportamiento
La evolución de reCAPTCHA ha avanzado hasta tal punto que se ha vuelto prácticamente invisible. Versiones recientes, como reCAPTCHA v3, ya no requieren que el usuario haga nada. El sistema analiza en un segundo plano el comportamiento de navegación y asigna una puntuación de riesgo. Solo cuando hay dudas sobre la autenticidad del usuario se activan pruebas adicionales, como seleccionar imágenes de semáforos o bicicletas.
A pesar de los avances tecnológicos, replicar el comportamiento humano sigue siendo una tarea complicada para los bots. Los desarrolladores han intentado imitar los movimientos suaves e imprecisos de los humanos, pero aún no han logrado engañar completamente al sistema.
Los errores, titubeos y pausas propias de un humano son imperfecciones extremadamente difíciles de simular con una precisión programada y se han convertido en una señal inequívoca de humanidad.
¡Cuidado con las imitaciones!
No obstante, pese a servir como medida de seguridad, este tipo de sistemas también encierran ciertos peligros. Y es que los ciberdelincuentes han comenzado a crear CAPTCHAS falsos que imitan la apariencia de los originales para engañar al usuario.
Al interactuar con estos, en lugar de confirmar que eres humano, puedes estar permitiendo la instalación de malware o facilitando el robo de información. Por ello, es recomendable verificar siempre que el sitio web que visitamos sea legítimo antes de interactuar con cualquiera de estos sistemas.
